在安全设置之中另外一大项设置是本地策略。在该项下面又分为审核策略、用户权利指派、安全选项等项,每一小项又包含一些具体的设置策略!下面我们接着向大家介绍这些设置中的一些重要项目!
审核策略
在审核策略下面一共有九项具体的审核设置,包括了登录事件、系统事件、帐户管理等!每一项具体的审核都有成功和失败两项。默认情况下这些策略都是无审核的!虽然它们位于安全设置下面,但是这些审核对于普通用户来说并没有太多的作用,当然如果 各位读者觉得有必要的话,可以根据自己的需要有选择的审核这些策略!本文在这里就不再作具体的介绍。
用户权利指派
这可是一项比较重要的配置,它涉及到系统中所有用户所具备的权限分配情况,针对某一用户,给予太大的权利,可能导致它“滥用职权”,赋予的权限小了,做起来来却又“束手束脚”,因此只有根据需要为用户设置确当的权限才能使系统更加安全。
备份文件和目录:在默认情况下具有备份文件和目录权限的用户组是Administrators和Backup Operators,即管理员组和备份操作员组中的用户。这是系统给出的默认权限设置。如果我们使用的是个人操作系统,并不是所谓的服务器,或者仅仅是一台小型服务器,其中用户的分工根本就没有这么细,绝大部分的管理工具都是由Administraor(即管理员)完成的,因此此时我们仍然将备份操作员组添加进来就显的多余了,这个时候我们就需要选中“Backup Operators”,(图10)按下“删除”按钮取消该组成员的备份文件和目录的权限。
从网络访问此计算机:这主要是确认哪些用户和组能够通过网络连接到该计算机。默认情况下管理员、备份操作员、高级用户、用户、每个人,应该说允许访问的用户是非常广的!在实际的使用过程中如果对安全级别要求比较高的话,就可以将除管理员组(Administrators)之外的所有组都删除。
友情提醒1:若局域网内有Windows 98的计算机要访问Windows XP,就需要我们保留Everyone组从网络访问计算机的权限。
友情提醒2:与网络访问此计算机权限相应的是在用户权利指派下还有一项是“拒绝从网络访问这台计算机”,在这里我们可以添加拒绝访问的用户或组。可能有朋友要问如果在允许和拒绝访问中都添加了相同的用户或组,那么以哪一个为准呢?在Windows操作系统中,有一项原则,即“拒绝大于一切”,应用到这里,也就是以拒绝操作为准!
更改系统时间:系统内置的时间可以提醒我们查看当前的时间,但是如果每个人都能修改这样的时间那就可能导致系统时间发生混乱!这样我们就不能将更改系统时间的权限分配给所有用户,双击“更改系统时间”,将除Administrators组之外的所有组都删除!这样别人就不可以再随便改变系统时间设置了。
通过终端服务允许登录:在Windows 2000/xp中,为我们提供了终端服务。为我们远程访问和调试提供了很大的方便,但是这也给我们带来了安全上的隐患。为了排除这方面的隐患,我们可以将一些可有可无的用户和组都删除。只保留必须使用的访问用户!有必要的话可以新建一个组,将用于终端访问的用户都添加进该组,然后再将该组添加进允许终端访问服务。与拒绝从网络访问这台计算机相似,针对终端服务同样有“通过终端服务拒绝登录”设置一项,在这里就可以设置拒绝通过终端服务
安全选项
在安全选项中中有很多针对帐户、网络访问、关机、设备、交互式登录等项目的设置,正确设置这些安全选项有助于我们提高安全方面的设置。
在挂起会话之前所需的空闲时间:这主要是确定在没有会话即计算机不活动多长时间即被挂起,其时间范围为0到99999分钟,如果值为设置为0那么说 在可能的情况下要尽快断开空闲的会话;而若设置为99999则相当于禁用该策略。这个时间主要根据自己网络服务器的会话频繁程度来进行长短时间的设置(图11)。
允许在未登录前关机:在早上一到办公室的时候,我们大多习惯先接通计算机电源,然后再过去处理其它事情。有的时候事情比较多,就忘记登录计算机,这样让计算机一直处于未登录状态,待自己要关闭计算机时才发现还未登录。这个时候还必须先登录计算机,然后再执行关机操作。于是就想如果能够在未登录就可以执行关闭计算机的操作该有多好啊。而在安全选项中就为我们提供了这样的设置,双击“关机:允许在未登录前关机”然后将其设置为“已启用”即可(图12)
图12
不
